Condividi l'accesso utilizzando politiche basate sulle risorse - Flusso di dati Amazon Kinesis
Condividi l'accesso con funzioni tra account AWS LambdaCondividi l'accesso con i consumatori KCL con più accountCondividi l'accesso ai dati crittografati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi l'accesso utilizzando politiche basate sulle risorse

Nota

Aggiornare una policy esistente basata sulle risorse significa sostituire quella già esistente, quindi assicurati di includere tutte le informazioni necessarie nella nuova policy.

Condividi l'accesso con funzioni tra account AWS Lambda

Operatore Lambda

  1. Vai alla console IAM per creare un ruolo IAM che verrà utilizzato come ruolo di esecuzione Lambda per la tua AWS Lambda funzione. Aggiungi la policy IAM gestita con AWSLambdaKinesisExecutionRole le autorizzazioni di invocazione Kinesis Data Streams e Lambda richieste. Questa policy concede anche l'accesso a tutte le potenziali risorse di Kinesis Data Streams a cui potresti avere accesso.

  2. Nella AWS Lambda console, crea una AWS Lambda funzione per elaborare i record in un flusso di dati Kinesis Data Streams e, durante la configurazione del ruolo di esecuzione, scegli il ruolo creato nel passaggio precedente.

  3. Fornisci il ruolo di esecuzione al proprietario della risorsa Kinesis Data Streams per la configurazione della policy delle risorse.

  4. Completa la configurazione della funzione Lambda.

Proprietario della risorsa di Kinesis Data Streams

  1. Ottieni il ruolo di esecuzione Lambda multi-account che richiamerà la funzione Lambda.

  2. Nella console di Amazon Kinesis Data Streams, scegli il flusso di dati. Scegli la scheda Condivisione del flusso di dati e poi il pulsante Crea una policy di condivisione per avviare l'editor visivo delle policy. Per condividere un consumatore registrato all'interno di un flusso di dati, scegli il consumatore e poi seleziona Crea una policy di condivisione. Puoi anche scrivere direttamente la policy JSON.

  3. Specifica il ruolo di esecuzione Lambda multi-account come principale e le operazioni Kinesis Data Streams esatte a cui condividi l'accesso. Ricorda di includere l'operazione kinesis:DescribeStream. Per ulteriori informazioni su esempi di policy delle risorse per Kinesis Data Streams, consulta Esempi di politiche basate sulle risorse per i flussi di dati Kinesis.

  4. Scegli Crea policy o usa PutResourcePolicyper allegare la policy alla tua risorsa.

Condividi l'accesso con i consumatori KCL con più account

  • Se utilizzi KCL 1.x, assicurati di usare la versione KCL 1.15.0 o successive.

  • Se utilizzi KCL 2.x, assicurati di usare la versione KCL 2.5.3 o successive.

Operatore KCL

  1. Fornisci al proprietario della risorsa il tuo utente IAM o il ruolo IAM che eseguirà l'applicazione KCL.

  2. Chiedi al proprietario della risorsa il flusso di dati o l'ARN consumatore.

  3. Ricorda di specificare l'ARN del flusso fornito come parte della configurazione KCL.

    • Per KCL 1.x: usa il KinesisClientLibConfigurationcostruttore e fornisci lo stream ARN.

    • Per KCL 2.x: puoi fornire solo l'ARN dello stream o StreamTrackerla Kinesis Client Library. ConfigsBuilder Per StreamTracker, fornisci lo stream ARN e Creation Epoch dalla DynamoDB Lease Table generata dalla libreria. Se desideri leggere da un utente registrato condiviso come Enhanced Fan-Out, usa StreamTracker e fornisci anche l'ARN del consumatore.

Proprietario della risorsa di Kinesis Data Streams

  1. Ottieni l'utente IAM o il ruolo IAM multi-account che eseguirà l'applicazione KCL.

  2. Nella console di Amazon Kinesis Data Streams, scegli il flusso di dati. Scegli la scheda Condivisione del flusso di dati e poi il pulsante Crea una policy di condivisione per avviare l'editor visivo delle policy. Per condividere un consumatore registrato all'interno di un flusso di dati, scegli il consumatore e poi seleziona Crea una policy di condivisione. Puoi anche scrivere direttamente la policy JSON.

  3. Specifica l'utente IAM o il ruolo IAM dell'applicazione KCL su più account come le operazioni Kinesis Data Streams principali ed esatte a cui condividi l'accesso. Per ulteriori informazioni su esempi di policy delle risorse per Kinesis Data Streams, consulta Esempi di politiche basate sulle risorse per i flussi di dati Kinesis.

  4. Scegli Crea policy o usa PutResourcePolicyper allegare la policy alla tua risorsa.

Condividi l'accesso ai dati crittografati

Se hai abilitato la crittografia lato server per un flusso di dati con chiave KMS AWS gestita e desideri condividere l'accesso tramite una politica delle risorse, devi passare all'utilizzo della chiave gestita dal cliente (CMK). Per ulteriori informazioni, consulta Cos'è la crittografia lato server per Kinesis Data Streams?. Inoltre, devi consentire alle entità principali di condivisione di accedere alla CMK utilizzando le funzionalità di condivisione tra account di KMS. Ricorda di apportare la modifica anche alle policy IAM per le entità principali di condivisione. Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account a utilizzare una chiave KMS.